In dem seit längerem schwelenden Verfahren Microsoft Corp. vs. United States hinsichtlich der Zulässigkeit von Zugriffen der US-Ermittlungsbehörden auf Kundendaten in einem irischen Rechenzentrum hat die Staatsanwaltschaft das Berufungsgericht (2nd Circuit Court of Appeals, No. 14-2985) um eine erneute Anhörung vor allen aktiven Richtern ersucht. Dieses hatte in der Streitsache zuvor gegen die USA geurteilt.
Der Inhalt im Überblick
Ermittlungsbehörden wollen Zugriff auf europäische Rechenzentren
Wie wir bereits berichtet haben, streitet die Microsoft Corp., exemplarisch für viele US-Cloud-Anbieter, seit April 2014 gegen einen durch US-Behörden erlassenen Durchsuchungsbeschluss. Dieser räumt den US-Ermittlungsbehörden das Recht ein auf die Daten eines straffällig gewordenen Kunden zuzugreifen, die sich auf Serverinstanzen von Microsoft im europäischen Ausland (hier Irland) befinden.
Sollte sich diese Rechtspraxis durchsetzen, so befürchtet Microsoft, dass für US-Cloud-Anbieter erhebliche Markteinbußen im europäischen Markt entstehen könnten und das Vertrauen der Kunden nachhaltig geschädigt werde. So wurde seit längerem von europäischen Datenschutzaufsichtsbehörden die Beschränkung der Datenverarbeitung auf das Gebiet des EU/EWR-Auslands gefordert und das eben nicht erst seit dem Safe-Harbor-Urteil mit Blick auf die US-Ermittlungspraxis und das dortige geringere Datenschutzniveau.
Berufungsgericht ändert das Urteil zugunsten von Microsoft
Mit Urteil vom 14 Juli 2016 urteilte das in zweiter Instanz mit dem Fall betraute Berufungsgericht (2nd Circuit Court of Appeals), dass Microsoft aufgrund der bestehenden nationalen Gesetzgebung der USA nicht gezwungen werden könne, personenbezogene Daten seiner Kunden heraus zu geben, die auf Serverinstanzen außerhalb der USA gespeichert sind. In erster Instanz wurde der Streit von einem New Yorker Bundesgericht noch zugunsten des Staates entschieden.
Diese Daten unterfallen nicht der Anwendung des Stored Communication Act aus dem Jahre 1986, so die Vorsitzende Richterin Susan Carney.
„Section 2703 does not authorize courts to issue and enforce warrants to U.S.-based Internet service providers for the disclosure of customer email content that is stored on foreign servers but entirely within the control of the U.S.-based company. […] The Warrant would be an impermissible extraterritorial application of Section 2703 [of the Stored Communication Act 1986].“
Eine extraterritoriale Anwendung des Stored Communication Act war vom Congress nicht vorgesehen, so Carney. Vielmehr richte sich die Zuständigkeit für derartige Durchsuchungsbeschlüsse nach nationalem Recht.
US-Regierung hält am Konzept Durchsuchungsbeschluss fest
Mit diesem Ergebnis will sich die US-Regierung offenbar nicht abfinden. Aus diesem Grunde wurde nun durch die zuständige Staatsanwaltschaft ein sog. „rehearing bzw. rehearing en banc„, eine erneute Anhörung vor allen aktiven Richtern des Gerichts gestellt. Sie führt laut heise an, dass das Gericht sich bei seinem Urteil geirrt habe.
„Zwar seien die Daten in Europa gespeichert, so die Staatsanwaltschaft, Microsoft könne darauf aber von den USA aus zugreifen. Daher handle es sich nicht um eine exterritoriale Angelegenheit. Das bekämpfte Urteil schränke ein ‚Tausende Male jährlich‘ eingesetztes Werkzeug ein, was ‚wichtigen strafrechtlichen Ermittlungen‘ schade.“
Letzte Station: US-Supreme Court
Für die Annahme eines „rehearing en banc“ bedarf es derzeit der Zustimmung von mindestens 6 Richtern. Selbst wenn dieses Erfolg haben sollte, ist fraglich, ob die Richter eine andere Entscheidung fällen oder das Urteil des 2nd Circuit Court of Appeals bestätigen.
Sollte das „rehearing“ das Urteil bestätigen, stünde der Staatsanwaltschaft der Gang zum Supreme Court of the United States offen, um eine Grundsatzentscheidung herbei zu führen. Dieses wird offensichtlich durch die Staatsanwaltschaft bereits mit dem vorliegenden Ersuchen vorbereitet. Dieser enthält explizite Ausführungen zur weitreichenden Bedeutung der Entscheidung.
Weitere Folgen
Es bleibt darüber hinaus zu bedenken: Wenn die von den EU-Datenschutzaufsichtsbehörden proklamierte Beschränkung faktisch wirkungslos ist und einen Zugriff von US-Behörden nicht verhindern kann, dann folgt daraus letztlich, dass US-Cloud-Anbieter von europäischen Auftraggebern nicht mehr eingesetzt werden können.
Darüber hinaus stellt die durch die Beschlüsse der US-Behörden zu Tage tretende Rechtsauffassung de facto eine Missachtung jeglicher rechtsstaatlicher Autonomie dar. Ausfluss dieser staatlichen Autonomie und Souveränität ist unter anderem die Akzeptanz des staatlichen Gewaltmonopols eines jeden Staates. Staatliche Ermittlungstätigkeiten auf dem Territorium eines anderen Staates dürfen ausschließlich durch dessen Ermittlungsbehörden vorgenommen werden. Aus diesem Grunde besteht auch das Institut der internationalen Rechtshilfe über bi- und multilaterale Verträge.
Wir werden sehen, ob es in den USA zu einer Stärkung des Datenschutzes (enthalten im 4. Verfassungszusatz der U.S. Constitution) kommen wird.
Da stellt sich die Frage, on Microsoft USA auf die deutsche und österreichische Microsoft Cloud, die ja „treuhänderisch“ betrieben wird, Zugriff hat bzw. den US-Behörden Zugriff gewährt würde. Weiß jemand hier mehr?
Wir haben bereits über die deutsche Cloud berichtet. Gerade dieser Rechtsstreit war einer der Gründe für das Projekt. Durch den Treuhandtrick soll ein Zugriff verhindert werden. Gerade die Strafverfolgungsbehörde wird hier wahrscheinlich an eine Grenze stoßen.
Kann dadurch ein Zugriff der US-Geheimdienste ausgeschlossen werden? Die deutsche Telekom gehört immer noch zum Teilen dem deutschen Staat. Dieser hat natürlich immer noch einen bedeutenden Einfluss auf das Unternehmen. So hat der NSA Untersuchungsausschuss beispielsweise aufgedeckt, dass es eine Aufforderung des Bundeskanzleramts an das Unternehmen gab, die fortlaufende Massenüberwachung deutscher und internationaler Internet- und Telekommunikationsdaten durch den BND am Frankfurter Knotenpunkt der Deutschen Telekom AG zuzulassen und zu unterstützen (https://wikileaks.org/bnd-nsa/press/index.de.html). Auch die enge Kooperation (aufgrund einer gewissen Abhängigkeit) zwischen BND und NSA sowie der Austausch von Daten wurde im Zuge der Auschussarbeit genauer dargelegt.
Lässt sich nun Office 365 Datenschutz konform einsetzen? Die Zuständige Stelle für Sachsen-Anhalt meinte nur wenn keine Personen bezogenen Daten übermittelt werden. Das ist bei Email schon schwierig. Ist es nun möglich da MS jetzt sein Angebot auf dt. Grund verrichtet bzw. ist es überhaupt schon umgesetzt die dt. MS Cloud?
Soweit uns bekannt ist, ist die Variante der dt. MS Cloud über die Telekom als sog. Treuhänderin umgesetzt. Ob dies allerding nach US-Recht ausreicht, um einen Zugriff der US-Behörden im Rahmen des Patriot Act, wird sich erst noch herausstellen müssen. Der Einsatz von Office 365 wird, wie Sie selbst darstellen, kontrovers diskutiert. Die Bayerische Datenschutzaufsicht z.B. hält entgegen der Ansicht der Datenschutzbehörden von Sachsen-Anhalt und Schleswig Holstein, nach Presseangaben die Produkte von Microsoft, wie Windows 10 aber auch Office 365, grundsätzlich für datenschutzkonform einsetzbar. Voraussetzung dürfte allerdings sein, dass zumindest Datenübermittlungen, die nicht zur Diensterbringung notwendig sind, unterbunden werden und die Nutzer die Datenschutz-Einstellmöglichkeiten, die Microsoft bietet, auch nutzen.